Методология «Волга-27001». Рекомендации по выполнению требований (часть 2). Требование ТР.0.2.92.2
Уровень ОИБВОП: Нулевой (0)
Домен: Организация (2)
Блок: Управление ИБ (92)
Минимальный уровень зрелости по реализации требований: Неофициально (1)
Требование: Определение перечня негативных последствий и дополнительных угроз для организации.
Описание требования: Организация должна провести первичный анализ негативных последствий и дополнительно проверить применимость угроз информационной безопасности в целом.
Мера защиты по ISO/IEC 27001: А.5.7 Управление данными об угрозах.
Мера защиты по БДУ ФСТЭК:
АУД.2.1 — Выявление (поиск) уязвимостей;
АУД.2.2 — Разработка отчетов с описанием уязвимостей и планом мероприятий по их устранению;
АУД.2.4 — Информирование должностных лиц о результатах поиска уязвимостей и оценки достаточности мер защиты;
АУД.10.1 — Периодическая проверка обеспечения безопасности информационной системы.
Возможное выполнение требования
В современной практике управления информационной безопасностью (ИБ) одной из важнейших задач является понимание того, что может пойти не так и какие угрозы могут повлиять на работу вашей организации. Это не значит, что нужно проводить сложные аудиты или строить математические модели рисков. На начальном этапе достаточно выполнить первичный анализ, чтобы зафиксировать осознанное отношение к возможным проблемам.
Такой анализ помогает не только соответствовать требованиям законодательства (например, ФЗ-152 «О персональных данных»), но и заложить основу будущей системы защиты информации. Главное — начать. Даже простой документ, составленный по понятному шаблону, станет доказательством того, что организация работает с рисками по угрозам для информации.
Как выполнить требование?
Шаг 1: Назначьте ответственного
Выберите сотрудника, который возьмёт на себя подготовку к анализу, чтобы выбрать лиц для его проведения. Это может быть ИТ-администратор, бухгалтер, руководитель подразделения или сам руководитель организации. Важно зафиксировать это в документе: ФИО и должность — что покажет, кто отвечает за процесс.
Шаг 2: Опишите деятельность организации
Кратко (в 3–5 предложениях) укажите:
- Чем занимается ваша организация (например, оказание услуг, производство, торговля);
- Какие данные вы обрабатываете (персональные данные клиентов, финансовая информация, коммерческую тайну и т. д.);
- Какие технологии используете (компьютеры, интернет, облачные сервисы, программы типа 1С, CRM, электронная почта и пр.).
Это поможет понять контекст и правильно оценить риски.
Шаг 3: Перечислите ключевые информационные активы
Составьте список того, что содержит важную информацию и без чего работа будет затруднена либо невозможна.
Примеры:
- Рабочие компьютеры и ноутбуки;
- Серверы или облачные хранилища (Яндекс.Диск, облачные сервисы и др.);
- Базы данных (клиентов, сотрудников, заказов);
- Электронная почта;
- Документы (договоры, отчёты, приказы — как в электронном, так и в бумажном виде);
- Программное обеспечение (1С, Битрикс24, Excel-таблицы с данными и т. п.).
Чем точнее вы опишете свои активы, тем полнее будет анализ.
Шаг 4: Определите возможные негативные последствия
Задайте себе вопрос: «Что может произойти, если что-то пойдёт не так?» Составьте список из 5–10 наиболее вероятных или серьёзных последствий. Например:
- Потеря данных из-за поломки жёсткого диска;
- Утечка персональных данных клиентов;
- Взлом корпоративной электронной почты;
- Остановка работы из-за заражения вирусом или шифровальщиком;
- Штраф со стороны регулятора за нарушение требований к защите персональных данных;
- Потеря доверия со стороны клиентов и партнёров;
- Разглашение коммерческой тайны;
- Невозможность вести учёт из-за сбоя в программе 1С.
Не нужно оценивать вероятность — просто перечислите, что может случиться.
Главное — начать, зафиксировать и показать, что организация осознаёт наличие угроз.
Шаг 5: Проверьте актуальность типовых угроз ИБ
Используйте общепринятые источники, например, классификацию угроз из стандарта ISO/IEC 27005 (или аналога ГОСТ Р ИСО/МЭК 27005), чтобы проверить, какие угрозы могут быть применимы к вашей организации. Примеры:
- Неосторожные действия сотрудников (например, переход по фишинговой ссылке);
- Злоумышленные действия третьих лиц (взлом, хакерские атаки);
- Сбои оборудования или программного обеспечения;
- Природные или техногенные происшествия (пожар, затопление);
- Отсутствие резервного копирования данных.
Отметьте те, которые реалистичны именно для вашей компании.
Шаг 6: Оформите результат в виде документа
Создайте простой файл (например, в Word или Excel) под названием:
«Реестр негативных последствий и угроз информационной безопасности для организации»
Включите в него следующие разделы:
- Название организации;
- Дата составления;
- ФИО и должность ответственного лица;
- Краткое описание деятельности;
- Перечень ключевых информационных активов;
- Список возможных негативных последствий;
- Перечень применимых угроз информационной безопасности.
Документ не должен быть объёмным — главное, чтобы он был понятным и отражал факт анализа.
Почему это важно?
На уровнях обеспечения ИБ 0 и 1 не требуется глубокая количественная оценка рисков. Главное — начать работу с рисками, зафиксировать их наличие и показать, что организация к этому относится осознанно.
Такой документ:
- Подтверждает выполнение нормативных требований;
- Может быть представлен при проверках;
- Становится основой для дальнейшего развития системы ИБ — например, для разработки политик, планов реагирования на инциденты или внедрения защитных мер.
Заключение
Выполнение требования по определению негативных последствий и угроз — это не сложная задача, а важный шаг на пути к защищённости вашей компании. Вам не нужно быть экспертом в ИБ. Достаточно потратить несколько часов, чтобы задуматься о том, что может пойти не так, и зафиксировать это в простом бумажном (электронном) виде.
Начните с малого. Зафиксируйте то, что уже очевидно. Со временем этот документ можно будет дополнять и развивать. А пока — пусть он станет свидетельством того, что ваша организация уже сегодня заботится о своей ИБ.
Страница в Базе знаний по ИБ.
